Почетный технический директор Ripple Дэвид Шварц заявил, что утечку средств из казначейства BONK DAO на сумму 20 млн $ можно рассматривать как корпоративное мошенничество, несмотря на то, что злоумышленник использовал систему ончейн-управления проекта для одобрения перевода.
Атака была сосредоточена на вредоносном предложении по управлению, которое переместило около 4,42 триллиона токенов BONK из казначейства DAO на кошелек, контролируемый злоумышленником. Перевод последовал за голосованием с низкой явкой, в ходе которого злоумышленник использовал временное большинство голосов для принятия предложения.

BONK, мемкоин на базе Solana, упал примерно на 7% после инцидента. BONK DAO охарактеризовал событие как вредоносное предложение по управлению и сообщил, что работает с биржами, мостами и фондом Solana.
Атака началась, когда анонимный кошелек отправил предложение BIP #76, которое включало инструкцию перевести токены BONK из казначейства на кошелек злоумышленника. Для принятия предложения требовались голоса «за», равные 1% от предложения BONK.
Согласно ончейн-анализу, cited в отчетах, злоумышленник потратил около 4,4 млн $ на покупку BONK через такие биржи, как Binance и Bybit. В некоторых отчетах также говорилось, что злоумышленник использовал платформы кредитования DeFi для увеличения веса голоса.
В голосовании по предложению участвовали только семь кошельков, тогда как более 18 000 участников не приняли участия. Явка составила около 2,9%, что позволило кошельку злоумышленника принять предложение практически единогласно.
Голосование преодолело кворум с небольшим перевесом: 882,38 млрд BONK проголосовали «за» при пороге в 879,95 млрд. После принятия предложения перевод из казначейства выполнился автоматически.
Дэвид Шварц заявил, что инцидент не следует списывать на законное использование ончейн-правил. Он утверждал, что участники DAO могут все еще иметь обязанности при управлении общими активами.
Шварц охарактеризовал утечку как корпоративное мошенничество, поскольку участники DAO могут выступать в роли доверительных управляющих при контроле общих средств казначейства. Его точка зрения заключалась в том, что корректное выполнение кода не снимает юридической ответственности, если общие активы используются неправильно умышленно.
Он также отметил, что государственные суды обычно не принимают защиту «код — это закон» в случаях незаконного присвоения активов. Эта позиция оспаривает аргумент о том, что злоумышленник просто следовал правилам смарт-контракта.
Вопрос остается юридически сложным, поскольку каждый шаг транзакции происходил через процесс управления проектом. Однако BONK DAO и аналитические фирмы расценили событие как атаку, и сообщается о вовлечении правоохранительных органов.
После принятия предложения около 20 млн $ в BONK переместились из казначейства DAO на кошелек, контролируемый злоумышленником. В отчетах говорилось, что позже около 188 000 $ были отправлены на биржу, вероятно, для вывода средств.
Оставшаяся сумма была переведена на мультиподписной кошелек, согласно данным Chainalysis. Мультиподписной кошелек требует более одного подтверждения перед перемещением средств.
Злоумышленник также продал BONK, использованные для получения контроля над голосованием. В отчетах указывалось, что около 5,3 млн $ worth купленных BONK были проданы после перевода из казначейства.
Эта последовательность действий оставила злоумышленнику контроль над выведенными токенами казначейства, одновременно удалив большую часть доли голосования, использованной для принятия предложения. Этот случай усилил scrutiny DAO, которые полагаются на голосование токенами без более строгих проверок безопасности.
Инцидент с BONK DAO возобновил дебаты об управлении с взвешиванием по токенам. Казначейство может стать уязвимым, когда временный покупатель токенов может дешево приобрести достаточную власть голоса для принятия разрушительного предложения.
Атака также выявила риски, связанные с низкой явкой. Небольшая группа голосующих кошельков может контролировать основные решения, если кворум низкий, а меры защиты слабы.
Общие меры защиты включают временные блокировки, более высокие пороги кворума, права экстренного вето, периоды рассмотрения предложений и ограничения на переводы из казначейства. Перевод в BONK DAO выполнился без достаточной задержки, чтобы предотвратить утечку.
Статья «Почетный технический директор Ripple говорит, что утечка средств из казначейства BONK DAO может быть корпоративным мошенничеством» впервые появилась на CoinCentral.

